Китайская хакерская группировка Camaro Dragon, также известная как Mustang Panda, была связана исследователями с новой вредоносной программы TinyNote, которая используется для сбора разведданных. Об этом сообщила компания по кибербезопасности Check Point.
По данным исследователям, TinyNote – это первичный вредоносный код, написанный на языке ” data-html=”true” data-original-title=”Go” >Go, который может выполнять базовые операции на заражённом компьютере и запускать команды через PowerShell или Goroutines.
Хотя вредонос не отличается высоким уровнем сложности, он обеспечивает несколько способов сохранить доступ к скомпрометированной системе, а также различные методы связи с серверами злоумышленников.
Camaro Dragon (Mustang Panda) ранее привлекала внимание весьма необычным способом скрытия своей деятельности. Хакеры использовали специальный прошивочный имплантат “Horse Shell”, который превращал маршрутизаторы TP-Link в сеть для обмена командами с C2-серверами.
Таким образом, хакеры маскировали свои действия, используя заражённые домашние роутеры в качестве промежуточной инфраструктуры, позволяющей общаться с инфицированными компьютерами через другой узел.
Результаты последних исследований демонстрируют эволюцию и рост сложности тактики уклонения и целеполагания атакующих, а также смесь индивидуальных инструментов, используемых для взлома защиты различных целей.
Бэкдор TinyNote распространяется под видом офисного документа и вероятно нацелен на посольства Юго-Восточной и Восточной Азии, так как имеет название “PDF_ Contacts List Of Invitated Deplomatic Members”. Это первый известный вредонос группировки, написанный на Go.
Особенностью вредоносного кода является его способность обходить индонезийское антивирусное решение “Smadav”, что свидетельствует о высоком уровне подготовки и глубоких знаниях о среде жертв.
“Бэкдор TinyNote подчёркивает целенаправленный подход Camaro Dragon и обширные исследования, которые они проводят перед проникновением в системы своих жертв”, – заявили в Check Point.
“Одновременное использование этого вредоносного ПО вместе с другими различными инструментами говорит о том, что злоумышленники активно стремятся разнообразить свой арсенал атак”, – заключили исследователи.